ISA 2006 集羣負債均衡建議方案

 

 

 

 

 

 

 

 

 ISA Server 2006集羣負載均衡

方案建議書

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目 錄

 

 

第1章       方案背景

 

1.1 用戶需求

1.2 系統的設計原則和設計目標

1.2.1 設計原則

1.2.2 設計要求

 

第2章       設計方案

 

2.1 方案構架

2.1.1 Active Directory目錄服務器

2.1.2 ISA Server 2006服務器

2.1.3 靈活的客戶端訪問方式

2.2 系統組成及規劃

2.2.1 ISA Server 企業版陣列部署

2.2.2 ISA Server企業版NLB部署和規劃

 

 

第3章建議公司ISA Server NLB集羣軟硬件配置

3.1 服務器硬件建議配置

3.2 ISA Server 2006 NLB集羣軟件需求

第1章 方案背景

1.1 用戶需求

   目前準備在上海和瀋陽分公司各架設一個ISA Server 2006負債均衡集羣，用於上海和瀋陽分公司員工Http訪問外網的代理服務器。上海和瀋陽大約共有3000個員工使用這兩個集羣代理訪問internet。

1.2 系統的設計原則和設計目標

1.2.1 設計原則

ISA Server 2006是微軟公司開發的高級應用層防火牆，能提供與Windows AD域整合的Http上網管理和WEB緩存方案，爲保證系統的廣泛使用和穩定運行，系統的選擇和設計應遵循以下原則：

 

l         ISA Server 2006集羣策略統一管理

l         集羣內ISA 服務器集羣共享WEB Cache

l         系統穩定可靠

l         方便網絡和系統的管理、安全性控制

l         方便的集羣可擴展性

l         ISA集羣內流量負載均衡

l         ISA集羣內故障轉移

 

1.2.2 設計要求

基於以上的設計原則，ISA Server WEB代理服務器集羣系統的設計應達到以下目標：

l         現階段爲上海和瀋陽員工提供http代理服務器功能，大約3000人左右。

l         高度可伸縮性的體系構架。能方便地擴充容量，以滿足公司未來發展的需要。

l         方便的客戶端設置

l         爲管理員提供方便高效的統一管理工具，減少日常維護工作量

l         ISA集羣內流量負載均衡，集羣內服務器內網IP虛擬成一個IP

l         ISA集羣內故障轉移

l         與AD域集成，通過AD服務器驗證身份

 

 

第2章 設計方案

2.1 方案構架

 

方案採用了Windows Server 2003平臺上的ISA Server 2006系統，以集羣和網絡負載均衡（NLB）的方式實現系統的高性能和高擴展性。

 

下圖爲採用託管方式的系統構架示意圖：

 

2.1.1 Active Directory目錄服務器

在上圖中Active Directory域服務器爲ISA提供身份驗證。爲不同的用戶組賦予不同的訪問權限。

2.1.2 ISA Server 2006服務器

Microsoft Internet Security and Acceleration (ISA) Server 2006 是高級應用層防火牆、虛擬專用網絡 (***) 和 Web 緩存解決方案，它使客戶能夠通過提高網絡安全和性能，輕鬆地從現有的 IT 投資獲得最大收益。ISA Server 2006 有兩種可用版本：標準版和企業版。ISA Server 2006 企業版支持 多臺ISA集羣部署和NLB網絡負載均衡，能夠統一管理多臺ISA服務器，並實現客戶端流量負載均衡和故障轉移。

2.1.3 靈活的客戶端訪問方式

ISA 2006具有對多種客戶端靈活的支持能力。

l         不使用ISA server 2006客戶端、在用戶PC上IE設置http 代理服務器地址到ISA 2006服務器內網地址，這樣的設置只有當用戶使用Http訪問時纔會通過ISA代理轉發。其餘Mail 通訊不會通過ISA。

l         使用ISA Server 2006 客戶端，在用戶機器上安裝ISA 客戶端，這樣的設置用戶所有的Internet 訪問數據流量都會通過ISA Server 轉發。

l         不使用ISA 客戶端、也不設置用戶PC上Http代理服務器，直接把用戶計算機網關改爲ISA Server 2006 內網IP,這樣設置用戶所有的Internet 訪問數據流量都會通過ISA Server 轉發，但是這種方式不支持AD域用戶身份驗證。

     根據ABAN的用戶需求，ISA Server 2006只做Http 代理服務器，因此採用第一種客戶端連接方式。

2.2 系統組成及規劃

2.2.1 ISA Server 2006 企業版陣列部署

通過將多個ISA Server2006計算機分組爲多個陣列的方式，您可以集中管理整個企業的網絡策略。你可以選擇部署集中式企業策略，也可以對陣列管理員進行授權，讓其自定義陣列策略。集中管理就意味着更高的安全性，所有管理任務都可以從一臺計算機執行，並將配置應用於所有ISA Server服務器計算機，以確保所有服務器都具有相同的訪問策略配置。這在大型企業的網絡環境中尤爲有用，每個企業可以劃分爲多個陣列，而每個陣列又可以包括很多臺 ISA 服務器計算機。

2.2.2 ISA Server 2006 企業版NLB部署和規劃。

對於企業用戶來講，如何確保系統的高可用性和高穩定性，是擺在IT人員面前的一個重要課題。NLB允許多達31個ISA Server一起工作的羣集來提供服務的高性能、高可用性和可擴展性，客戶端使用一個虛擬的 IP 地址來訪問羣集。和Windows系統實現的NLB不同，ISA服務器提供的NLB集成到了ISA服務器中，從而使您可以輕鬆地管理受ISA服務器保護的不同網絡之間的NLB。

下圖反映了ISA Server 2006 NLB的部署：

 

 

規劃和調整 ISA 集羣服務時要考慮的主要標準是：

l         用戶數客戶端數量

l         數據訪問流量

l         可擴展性和故障轉移

 

 目前大約3000用戶需要使用ISA 2006 Server 作Http代理轉發，根據500客戶端大約需要一臺ISA Server的部署規則。初步規劃爲2個ISA Server NLB集羣，上海公司一個ISA Server NLB集羣，包含3臺ISA Server；瀋陽公司一個ISA Server NLB集羣，也包含3臺ISA Server 服務器。

ISA Server NLB集羣具有良好的高可用性和可擴展性。集羣中任何一臺機器出現故障都不會影響集羣的工作。當公司擴大，用戶數增多時，也可以很方便的在現有集羣中增加ISA Server 服務器。

 

第3章 建議ISA Server NLB集羣軟硬件配置

3.1 服務器硬件建議配置

建議採用 IBM X3550 (單CPU、4G內存、硬盤 SAS 72G*2 Raid1)、配3塊網卡（一塊內網、一塊外網、一塊心跳）

3.2 ISA Server 2006 NLB集羣軟件需求

軟件需求：Win2003 標準版+ISA Server 2006 企業版